中小企業における情報セキュリティへの取り組み事例
公開日: 2008年7月23日
0. はじめに
はじめまして、吉積と申します。まずはじめに、私の経歴やこれまでの仕事について簡単にご紹介致します。
私は社会に出て、システム系のコンサルティング会社にて、情報システムのインフラ周りからアプリケーションの開発、中規模から大規模なシステム構築案件まで幅広く色々経験してきました。その後、中小企業に対してシステムの運用や構築サービスを大規模システム構築の経験を活かして提供する会社を立ち上げ、大小様々な会社様にサービスを提供して来ました。
特別にセキュリティに特化した業務に携わって来たと言う事ではありませんが、セキュリティに関する話題はどんな分野でも必ず関係してくるものですので、無関係であった事は一度もないと思います。
今回はこれまでの私の経験を踏まえて、特に企業規模とセキュリティに対する意識や取り組みの差異などについて分析したいと思います。
1. 情報セキュリティ
企業活動における「セキュリティ」と言うと少し範囲が広くなりすぎてしまいますので、ここでは情報セキュリティについて、と言う事でお話したいと思います。
情報セキュリティと言った場合にはどのような事を考えれば良いでしょうか。
IPAのサイト
によると、
| • | 守秘性(Confidentiality) |
| • | 可用性(Availability) |
| • | 完全性(Integrity) |
を確保することを目的とするもの、と言うように定義されています。簡単に言うと、必要な人に対してのみ、適切に正確な情報を常に提供する、事を目指すものだと言えると思います。
また、可用性等についてはセキュリティもさることながら、システムの冗長化等による面も考える必要がありますが、ここでは、悪意や過失が伴った人の行動から上記を守る、と言う事をセキュリティ対策という風に考えたいと思います。
2. 企業規模と情報セキュリティ
さて、上記の情報セキュリティを確保する場合、企業活動上の対象となる人と扱うべき情報、適切な範囲、と言うのは業種や企業規模によって様々ですので、それなりに取り組む姿勢や対応が異なって来ます。
基本的には、扱う情報の重要性や影響が大きく、コスト・運用の体制が充実している大企業に対して新しい堅牢なソリューションが導入され、コスト低減や社会的な要求の高まりに応じて中小企業が追随する、と言う点は一般のソリューションと同じと言えます。
最近の傾向として、中小企業がやはり積極的に情報セキュリティ対策を充実させて来ている傾向が見られると思います。食の安全の問題等もあり、社会的な機運の高まりが影響しているように思います。また、末端の契約会社等からの漏洩が本体に多大な影響を与える事が少なくないことから、具体的に顧客企業等からの要請によるものも多く見られるようです。
また、基本的な違いとして、大企業においては、社内の一般ユーザーも悪意を持つ事を想定したセキュリティ対策を行っている点でしょうか。これは非常にコストや利便性に影響を与えるので、中小企業では基本的には社内ユーザーに対しては過失に対してのみケアする事が多いようです。
では、個別にどのような対応を行っているか、具体例を見て行きます。
| • | 入退出管理: 大企業については、既に随分前からカードキーによる入退出管理を行ってきました。これは当然物理的な情報漏洩リスクに対応するものですが、中小企業においても近年、カードキー自体の価格低減や情報漏洩リスクへの意識向上から随分と導入が増えて来ているようです。また、一般的なオフィスへの入退出に加え、重要な情報が格納されているサーバー ルーム等が設置されている場合はその場所へはまた別の認証が必要な仕組みを導入している事が多くなって来ました。一般的には一般オフィスはカードのみ、サーバー ルームはカード + 生体認証 (もしくはパスワード) というのが一般的です。 近年大企業向けのソリューションとして、カードキー等によって入出手続きを踏まないと社内ネットワークにもそもそも繋がらない、と言ったソリューションが登場してきて居ますが、コストや運用の面で中小企業にまでは適用されていない現状のようです。但し、将来的には一般的なソリューションになるのではないかと予想されます。 |
| • | ID 認証管理: パスワードの難解性や有効期間についても、一般的に実施されるようになって来たようです。中小企業のお客様においても意識される事が多いです。 |
| • | ウイルス対策: ウイルス対策は基本的に全ての企業で実施していると思って間違いないと思います。企業ユースの PC には基本的に全てウイルス対策製品が入っており、大企業と中小企業での意識の差異はそれ程ないようです。 |
| • | WEB サーバー対策: これはインジェクション対策や DDos 攻撃など色々含みますが、中小企業においてはリテラシーに大きな差があり、WEB をどこに位置づけているか、に依存すると思います。ただ単に企業の紹介のみの場合は通常ホスティング会社に任せっきり、と言う形が多いですが、WEB を自社の基幹業務の一部として位置づけている場合は可能な限り (自社の威信にかけて) 対策を取っていると思います。 |
| • | ノート PC 等の持ち出し対策: 大企業では最近この点を非常に手厚くケアし出して居ます。HDD の暗号化など、主に紛失時の情報漏洩リスクや悪意のある持ち出し (USB等) に対する対策ですね。近年やっと中小企業に対しても導入出来るレベルのソリューションが出て来ており、今後広まっていく分野だと思います。特に個人的にはシンクライアント系のソリューションは面白いと思っています。 |
まだまだ個別に挙げて行くとキリがない程ありますが、イメージを伝えるにはこの程度で十分ではないかと思います。如何でしょうか?今後は中小企業においても情報漏洩に対する取り組みが拡大することになると思われます。
3. 今後の方向性と情報システムとの付き合い方
今後も情報セキュリティ対策に対するニーズは、社会の高度化・情報量の増大とともに、多様化高度化する一方だと思います。一般に便利なデバイスや手法の登場はセキュリティのリスクを増大させる傾向にあると考えられます。(携帯で気軽に写真が撮れたり、ルータのセキュリティに穴を空けるソフトウェア製品であったり、USB メモリであったり。) それらの技術革新自体は非常に喜ばしい事なのですが、それに伴って想定される悪意に対する対策を取らなければならないというのは、個人的には寂しい限りだと思います。私見ですが、全ての悪意に対して完全な防御を個別に目指すよりは、社会インフラの一環として一定の抑止力を働かせるべきでは無いかと思います。
以上、情報システムの業界に携わるものとして、今後も適切に便利に情報を取り扱うよう、少しでも考えていく参考になれば幸いです。
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。
